验证>管道配置元素

指定入站和出站 SOAP 消息头中的安全性令牌的用法。

稳定功能：

稳定了对 WS-Security 功能 SOAP 消息的签名和加密支持。考虑使用传输层安全作为保护 SOAP 信息的替代方案。另请参阅 " 稳定通知 "和 "停止的职能 "。

6.3 从 CICS® TS 6.3 起，不再支持为 WS-Security 功能签署和加密 SOAP 消息。

6.16.2 稳定了对 WS-Security 功能 SOAP 消息的签名和加密支持。

用于

服务提供者
服务请求者

包含于：

<dfhwsse_configuration> 内容

属性

根源
方式 (mode)

信任和模式属性共同规定了是否使用断言身份，以及（如果使用）SOAP 消息中使用的安全令牌组合。

断言身份允许受信任用户断言工作必须在不同的身份（断言身份）下运行，而受信任用户无需拥有与该身份相关联的凭证。

使用断言身份时，报文包含信任令牌和身份令牌。信任令牌用于检查发送方是否拥有正确的身份认证权限。身份令牌包含所断言的身份，即运行请求时所使用的用户 ID。

使用断言身份要求服务提供商相信请求者会做出这种断言。在 CICS 中，信任关系是通过安全管理器代理定义建立的：请求身份必须有正确的授权，才能代表断言身份开始工作。

表 1 和表 2 描述了这些属性的允许组合及其含义。

表 1. 服务请求者管道中的 **mode** 和 **trust** 属性
根源	方式 (mode)	含义
无	无	信息中未添加任何凭证
无	基本	属性值组合无效
无	特征符	不使用断言身份。 CICS使用单个X.509安全令牌，该令牌被添加到报文中，并用于签署报文正文。证书由 `<certificate_label>` 元素标识，算法由 `<algorithm>` 元素指定。
盲目	无	属性值组合无效
盲目	基本	不使用断言身份。 CICS 将身份令牌添加到报文中，但不提供信任令牌。身份令牌是一个没有密码的用户名。身份令牌中的用户 ID 是 DFHWS-USERID 容器的内容（默认情况下，该容器包含运行任务的用户 ID）。
盲目	特征符	属性值组合无效
基本	无	属性值组合无效
基本	基本	属性值组合无效
基本	特征符	属性值组合无效
特征符	无	属性值组合无效
特征符	基本	使用断言身份。 CICS 在报文中添加了以下标记：信任令牌是 X.509 安全令牌。身份令牌是一个没有密码的用户名。用于签署身份令牌和报文正文的证书由 `<certificate_label>` 指定。身份令牌中的用户 ID 是 DFHWS-USERID 容器的内容（默认情况下，该容器包含运行任务的用户 ID）。
特征符	特征符	属性值组合无效

表 2. 服务提供商管道中的 **mode** 和 **trust** 属性
根源	方式 (mode)	含义
无	无	入站报文无需包含任何凭据，CICS 不会尝试提取或验证报文中的任何凭据。但是，CICS 会检查任何已签名元素的签名是否正确。
无	基本	入站信息必须包含一个带有密码的用户名安全令牌。 CICS 将用户名放入 DFHWS-USERID 容器中。
无	basic-ICRX	属性值组合无效
无	basic-kerberos	属性值组合无效
无	特征符	入站邮件必须包含用于签署邮件正文的 X.509 安全令牌。
盲目	无	属性值组合无效
盲目	基本	入站信息必须包含身份令牌，其中身份令牌包含用户 ID 和密码（可选）。 CICS 将用户 ID 放入 DFHWS-USERID 容器。如果不包含密码，CICS 将使用用户 ID，而不对其进行验证。如果包含密码，安全处理器 DFHWSSE1 将对其进行验证。
盲目	basic-ICRX	入站报文必须包含 ICRX 身份令牌。 CICS 解析身份，将用户 ID 放入 DFHWS-USERID 容器，并将 ICRX 放入 DFHWS-ICRX 容器。如果需要验证，则使用客户端认证的 SSL 或其他安全协议。
盲目	basic-kerberos	属性值组合无效
盲目	特征符	入站报文必须包含一个身份令牌，其中身份令牌是 SOAP 报文头中的第一个 X.509 证书。证书不需要对信息进行签名。安全处理器会提取匹配的用户 ID 并将其放入 DFHWS-USERID 容器中。
基本	无	属性值组合无效
基本	基本	入站报文必须使用断言身份：信任令牌是带有密码的用户名令牌身份令牌是不带密码的第二个用户名令牌。 CICS 将此用户名放入容器 DFHWS-USERID。
基本	basic-ICRX	入站报文必须使用断言身份：信任令牌是带有密码的用户名令牌。 CICS 确定用户 ID 和密码组合是否有效，如果有效，CICS 会将所断言的基于 ICRX 的身份解析为用户 ID。 CICS然后执行从已验证身份到已断言身份的代理安全检查。身份令牌是一个 ICRX，可识别特定的客户端用户。 CICS 将用户名放入容器 DFHWS-USERID，将 ICRX 放入容器 DFHWS-ICRX。
基本	basic-kerberos	入站报文必须使用断言身份。需要一个 Kerberos 第 5 版令牌，其格式类型如下： http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 该令牌必须为基本 64 位编码。 CICS 通过使用 z/OS® 的网络身份验证服务验证令牌，并将与令牌关联的用户 ID 放入容器 DFHWS-USERID。
基本	特征符	入站报文必须使用断言身份：信任令牌是带有密码的用户名令牌身份令牌是 X.509 证书。 CICS 将与证书关联的用户 ID 放入容器 DFHWS-USERID。
特征符	无	属性值组合无效
特征符	基本	入站报文必须使用断言身份：信任标记是 X.509 证书身份令牌是不带密码的用户名令牌。 CICS 将用户名放入容器 DFHWS-USERID。身份令牌和正文必须使用 X.509 证书签名。
特征符	basic-ICRX	入站报文必须使用断言身份。信任令牌是以 X.509 证书签名的 ICRX。 CICS 将 X.509 证书解析为用户 ID，并确保 XML 签名有效。 CICS 将所断言的基于 ICRX 的身份解析为用户 ID。 CICS然后从经过验证的 X.509 身份到断言的 ICRX 身份执行代理安全检查。身份令牌是不带密码的用户名令牌。 CICS 将用户名放入容器 DFHWS-USERID，将 ICRX 放入容器 DFHWS-ICRX。
特征符	basic-kerberos	属性值组合无效
特征符	特征符	入站报文必须使用断言身份：信任标记是 X.509 证书身份令牌是第二个 X.509 证书。 CICS 将与此证书相关联的用户 ID 放入容器 DFHWS-USERID。身份令牌和正文必须用第一个 X.509 证书（信任令牌）签名。

注：

安装 PIPELINE 时，将检查信任和模式属性值的组合。如果属性编码错误，安装将失败。
CICS 在 VERIFY PHRASE 中描述的过程中使用密码验证来验证用户 ID。

包含：

一个可选的空 <suppress/> 元素。
如果在服务提供商管道中指定了此元素，处理程序就不会尝试使用报文中的任何安全令牌来确定工作是在哪个用户 ID 下运行的。

如果在服务请求者管道中指定了该元素，处理程序就不会尝试在出站 SOAP 消息中添加任何身份验证所需的安全令牌。
在请求者管道中，一个可选的 <algorithm> 元素指定了用于签署 SOAP 消息正文的算法 URI。如果信任和模式属性值的组合表明报文已签名，则必须指定此元素。在此元素中，您只能指定使用 SHA1 算法的 RSA。 URI 为 http://www.w3.org/2000/09/xmldsig#rsa-sha1。
一个可选的 <certificate_label> 元素，用于指定与安装在 RACF® 中的 X.509 数字证书相关联的标签。如果在服务请求者管道中指定此元素，且未指定 <suppress> 元素，则证书会添加到 SOAP 消息的安全标头中。如果不指定 <certificate_label> 元素，CICS 将使用 RACF 密钥环中的默认证书。
在服务提供商管道中，该元素将被忽略。

如果使用任何配置元素，都必须按照列出的顺序使用。

示例

<authentication trust="signature" mode="basic">
  <suppress/>
  <algorithm>http://www.w3.org/2000/09/xmldsig#rsa-sha1</algorithm>
  <certificate_label>AUTHCERT03</certificate_label>
</authentication>